Fachartikel

Windows Server 2016 mit Windows Defender und ATA schützen (2)

Microsoft stand in Sachen Sicherheit in der Vergangenheit nicht immer im besten Licht. Der Konzern reagierte darauf unter anderem mit verbesserten Bordmitteln in Sachen Security. Dazu gehört einerseits Windows Defender, der Malwareschutz von Windows Server 2016. Weiter greift Microsoft Advanced Threat Analytics, das die Sicherheit im Netzwerk überwacht – insbesondere, wenn User mehr als ein Gerät nutzen. Für gewisse Lizenzmodelle ist auch dieses Werkzeug kostenlos. Wie Sie mit diesen Tools Server und Netzwerk schützen, zeigt dieser Beitrag. Im zweiten Teil gehen wir auf die Installation von Microsoft Advanced Threat Analytics ein und beschreiben, wie Sie mit Deep-Packet-Inspection und SIEM auf Angreifersuche gehen.
Mit Windows Defender und Microsoft Advanced Threat Analytics versorgen Sie Server 2016 mit einem festen Schutzschild.
Microsoft Advanced Threat Analytics
Microsoft Advanced Threat Analytics (ATA) ist eine Erweiterung der Enterprise Mobility Suite (EMS). Aufgabe des On-Premises-Systems ist das Erkennen verdächtiger Aktionen im Netzwerk, die von Angreifern durchgeführt werden. Im Fokus von ATA stehen dabei Angriffe auf Benutzeranmeldedaten. Daher behält die Software vor allem Active-Directory-Domänencontroller im Auge. Der Dienst soll aber nicht nur Endgeräte wie Smartphones oder Tablets schützen, sondern auch interne Netzwerke in AD-Strukturen sowie in Microsoft Azure und Azure Active Directory. Microsoft will mit ATA den Unternehmen ein Werkzeug an die Hand geben, um Netzwerke vor Angriffen zu schützen, die durch eine Vielzahl an Zugriffsmöglichkeiten stattfinden können. In den meisten Firmen können Anwender über immer mehr Geräte und Anbindungen auf Daten des Unternehmens zugreifen. Nur durch ein zentrales Tool wie ATA ist es dabei möglich, einen Überblick zu erhalten und Angriffe schnell und einfach zu entdecken.

Bild 4: Im Assistenten zur Installation des ATA-Centers nehmen Sie wichtige Einstellungen vor und hinterlegen die notwendigen Zertifikate.

Die Einrichtung des Tools gestaltet sich sehr einfach, die Analyse des Netzwerkes erfolgt sofort nach der Installation. Sie installieren einen Serverdienst, der das Netzwerk überwacht und einen zentralen Sammeldienst, der die Informationen aufbereitet. Die Installation kann auf dedizierten Servern erfolgen sowie auf einem gemeinsamen Server. Sobald Sie ATA installiert und eingerichtet haben – wenn Sie schnell sind in unter zehn Minuten – beginnt das System mit der Analyse des Netzwerks. Versucht ein Trojaner oder ein Angreifer zum Beispiel Benutzernamen im Active Directory auszulesen, erkannt das Tool dies und gibt eine Warnung in der Weboberfläche aus.
Verdeckte Angriffe im Netzwerk
Um was für Angriffe handelt es sich überhaupt, vor denen das ATA schützt? Laut Microsoft werden 76 Prozent aller Angriffe auf interne Netzwerke durch gestohlene Anmeldeinformationen durchgeführt. Greift zum Beispiel ein Anwender mit seinem Notebook auf einen Dateiserver zu, wird eine Vielzahl an Daten übertragen. Nutzt der Anwender mit seinen Anmeldedaten noch weitere Serverdienste wie SharePoint, CRM- oder andere Lösungen, erstellt das Active Directory Tickets (Hashes), um den Zugang zu gewähren.

Gelangen diese Informationen in die falschen Hände, haben Angreifer mit den gestohlenen Benutzerdaten des Anwenders Zugriff auf das Netzwerk. Möglich ist ein Abgreifen der Tickets etwa auf einem infizierten Rechner, da Windows die Hashes im Arbeitsspeicher ablegt. Das sind nicht nur die eigenen, sondern auch die Anmeldedaten anderer Nutzer – vor allen Dingen Administratoren –, die zu Wartungszwecken oder um Daten zu teilen auf den PC zugreifen dürfen.

Handelt es sich um die Anmeldedaten eines Administrators, steigt das Gefährdungspotenzial solcher Angriffe deutlich. In diesem Fall können Angreifer nicht nur auf die Serverdienste zugreifen, die der Anwender ohnehin nutzt, sondern auf eine Vielzahl weiterer Systeme im Netzwerk, die der Anwender normalerweise nicht verwendet. Sichtbar sind diese Attacken nicht – es werden keine Daten vernichtet oder PCs zerstört, sondern schlicht Daten gestohlen. Und das über Monate, ohne dass Administratoren, Firewalls oder Virenscanner irgendetwas bemerken. Derzeit gibt es so gut wie keine Lösungen, die Unternehmen vor solchen Angriffen schützen.

Hat der Angreifer aktive Konten gefunden, kann er alternativ versuchen, mit Brute-Force-Angriffen die Kennwörter der Konten herausfinden. Auch das erkennt ATA sofort und gibt ausführliche Informationen darüber aus, von welchem Client der Angriff ausgeht, welcher Domänencontroller verwendet wird und um welche Benutzerkonten es sich handelt. Hat der Angreifer die Kennwörter erfolgreich gestohlen, kann er sich an PC-Systemen anmelden. Das erkennt ATA ebenfalls – wie alle derartigen Vorgehensweisen, die es auf verständliche Weise anzeigt.

Seite 1: Installation von Microsoft Advanced Threat Analytics
Seite 2: Mit Deep-Packet-Inspection und SIEM auf Angreifersuche


Seite 1 von 2 Nächste Seite >>
8.04.2019/jp/ln/Thomas Joos

Nachrichten

Bildungseinrichtungen häufig Opfer von Cyberattacken [18.09.2019]

Der Bildungsbereich ist die am stärksten von Cyberangriffen betroffene Branche. Untersuchungen von EfficientIP und IDC haben ergeben, dass 86 Prozent der Befragten im Bildungswesen 2018 Erfahrungen mit Domain Name System (DNS)-Attacken gemacht haben. Nur der Regierungssektor ist noch häufiger Opfer derartiger Angriffe. [mehr]

Virtuelle Sicherheit für Verschlüsselungs-Keys [18.09.2019]

nCipher Security stellt nShield as a Service vor. Hierbei handelt es sich um einen Cloud-basierten Service, der es Unternehmen unter Einsatz von Hardware-Sicherheitsmodulen ermöglicht, sensible Daten und Anwendungen zu schützen. [mehr]

Tipps & Tools

VPC richtig konfigurieren [18.08.2019]

Wenn Sie eine Virtual Private Cloud für die Verwendung mit Amazon Aurora anlegen, ist es wichtig diese richtig zu konfigurieren. Grundsätzlich muss eine Virtual Private Cloud (VPC), die einen Amazon-Aurora-DB-Cluster enthält, mindestens zwei Availability Zones (AZ) umfassen. Jede AZ muss außerdem mindestens ein Subnetz bereithalten. Für das folgende Beispielszenario melden Sie sich in der AWS Management Console an und öffnen dort die VPC-Konsole. [mehr]

Jetzt buchen: Training "vSphere Best Practices und Troubleshooting" [12.08.2019]

Die Virtualisierungsinfrastruktur ist heutzutage in den meisten Unternehmen die Basis des IT-Betriebs. Läuft sie nicht optimal oder steht gar komplett still, fallen zahlreiche IT-Dienste aus. Daher sind gerade für VMware vSphere Best Practices gefragt, die helfen, das System mit größtmöglicher Leistung zu betreiben und proaktiv auf mögliche Störungen zu überwachen. Wie dabei vorzugehen ist, zeigt unser Training ebenso wie das Troubleshooting im Fehlerfall. [mehr]

Buchbesprechung

Windows Server 2019

von Peter Kloep, Karsten Weigel, Kevin Momber, Raphael Rojas und Annette Frankl

Anzeigen